Au cours des deux derniers jours, parce que j'ai utilisé l'Ajax sur l'avant pour initier une demande de mise à jour asynchrone, j'ai constaté qu'Ajax exposerait l'adresse d'interface du backend. Bien sûr, ce problème est inévitable et le frontal est un texte brut. Malheureusement, j'ai posé diverses questions dans les groupes Baidu, Google et QQ. Ils ont tous dit que le problème ne peut être résolu que par vérification de la sécurité. En tant que novice, le premier choix est bien sûr la session. Il y a une vérification de jetons, des frameworks Shrio, etc. en ligne. Les amis intéressés peuvent rechercher des tutoriels en ligne pour apprendre.
La session est un mécanisme de cache pour les serveurs existants, qui peuvent vérifier si l'utilisateur s'est connecté. J'ai noté ce que j'ai appris afin que les novices puissent éviter les chemins de flexion et télécharger directement le code ~
Tout d'abord, la demande HttpServletRequest request doit être ajoutée aux paramètres d'interface de connexion SSM pour obtenir la session effectuée par la demande.
Deuxièmement, définissez la session dans le code d'interface de connexion, HttpSession session = request.getSession(true); // Cette phrase est d'obtenir la session, vrai signifie que s'il n'y a pas de session, créez une nouvelle session sans le remplir.
session.setAttribute("logined","success"); // Cette phrase consiste à écrire un logo. Vous pouvez également définir le compte enregistré dans la session pour empêcher la falsification de falsification avec malveillance des informations d'un autre compte lors du lancement d'une demande de modification.
Troisièmement, comment vérifier l'interface? Il est également nécessaire d'utiliser le paramètre de demande HTTPServletRequest pour obtenir la session effectuée par le client initiant une demande HTTP. HttpSession session = request.getSession(); session.getAttribute("logined") pour lire s'il y a une clé connectée. S'il n'y a pas de connexion, le contenu demandé ne sera pas donné et les informations seront renvoyées directement pour rappeler à l'utilisateur de se connecter.
Problème de portée de la session du projet SSM
Description: Une fois que l'utilisateur se connecte avec succès dans le système, met les informations pertinentes de l'utilisateur dans un domaine de session pour un appel facile et est nommé xx.
Lorsque l'utilisateur se connecte à ce système, il doit modifier ses informations personnelles. Une fois la modification terminée, les informations personnelles modifiées de l'utilisateur sur la page de la réception sont réinstallées dans ce domaine de session pour écraser la session précédente. De cette façon, lorsque l'utilisateur se connecte à nouveau ou vérifie, les informations après l'avoir modifiée.
Analyse: Lorsque l'utilisateur souhaite modifier ses informations personnelles après avoir modifié ses informations personnelles (modifier les informations personnelles et modifier les mots de passe personnels ne figurent pas sur la même page), l'ancien mot de passe entré sera invité à se tromper, car il n'y a pas de mot de passe personnel lors de la modification des informations personnelles. Autrement dit, lorsque l'utilisateur modifie ses propres informations et sévit ses informations dans la session, le mot de passe personnel est encapsulé avec une valeur vide, et le véritable mot de passe pour la connexion de l'utilisateur ne peut pas être obtenu pour le moment.
Solution: Si vous souhaitez modifier en douceur votre mot de passe personnel après avoir modifié vos informations personnelles, vous devez ajouter un domaine caché du mot de passe utilisateur à la page où vous modifiez vos informations personnelles. De cette façon, le mot de passe de connexion personnel sera encapsulé dans l'objet avec les informations modifiées par l'utilisateur et sera fourrée dans le domaine de session. De cette façon, la poussée interne du domaine de session peut être appelée lors de la modification du mot de passe et le mot de passe ne sera pas vide.
Ce qui précède est tout le contenu de cet article. J'espère que cela sera utile à l'apprentissage de tous et j'espère que tout le monde soutiendra davantage Wulin.com.